谷歌披露利用 Windows 和安卓双平台的高阶攻击活动

谷歌指出，这些攻击通过水坑攻击传播不同的 exploit 链，经由两个 exploit 服务器发动，“一个服务器针对的是 Windows 用户，另一个针对的是安卓用户。”这两个exploit 服务器均使用多个 Chrome 漏洞，在受害者设备上初步站稳脚跟。在用户浏览器中设立初始入口点后，攻击者会部署操作系统级别的 exploit 获得对受害者设备的更多控制。

这些 exploit 链包括多个 0day 和 Nday 漏洞，即软件厂商未知的漏洞以及虽已被修复但仍然遭在野利用的漏洞。

谷歌指出，这些 exploit 服务器中共包含：

上述提到的4个0day 如下，它们均在2020年春得到修复：

谷歌表示，虽然并未找到托管在 exploit 服务器上的安卓 0day exploit 证据，但研究人员认为威胁行动者很可能也拥有访问安卓 0day 的权限，不过研究员发现之时很可能并未将它们托管在服务器上。

谷歌将这些 exploit 链描述为“通过模块化实现有效性和灵活性”，“它们是精心设计的复杂代码，具有多种新颖的利用方法、成熟的日志记录、高阶且精准的利用后技术，以及大量反分析和目标检查”，“我们认为设计并开发这些 exploit 链的是由专家组成的团队”，不过谷歌并未并未提及更多关于攻击者或受害者类型的详情。

除了介绍之外，谷歌还发布报告详述了被用于攻击中的一个 Chrome “infinity 漏洞“、Chrome exploit 链、安卓 exploit 链、在安卓设备上的利用后步骤以及 Windows exploit 链。

这些详情应该也有助于其它厂商判断客户是否遭攻击、追踪受害者以及受同样威胁行动者威胁的其它类似攻击活动。

更多详情，可见博客原文：https://googleprojectzero.blogspot.com/2021/01/introducing-in-wild-series.html